ISO 27001 Eis 5.1 – Leiderschap en betrokkenheid

Wat houdt artikel 5.1 in?

Deze clausule identificeert specifieke aspecten van het managementsysteem waarbij van het topmanagement wordt verwacht dat zij zowel leiderschap als betrokkenheid tonen. Deze omvatten, maar zijn niet beperkt tot:

• Verantwoording afleggen over de effectiviteit van het managementsysteem;
• Ervoor zorgen dat het beleid en de doelstellingen worden vastgesteld en verenigbaar zijn met de context en de strategische richting van de organisatie;
• Ervoor zorgen dat de integratie van het managementsysteem is ingebed in bedrijfsprocessen;
• Het bevorderen van het gebruik van de procesbenadering en het risicogebaseerd denken
• Ervoor zorgen dat er voldoende middelen beschikbaar zijn;
• Ervoor zorgen dat het managementsysteem de beoogde resultaten behaalt;
• Het betrekken, aansturen en ondersteunen van personen om bij te dragen aan de effectiviteit van het managementsysteem

Het belang van leiderschapscommitment

Als het leiderschap niet actief betrokken is, bijvoorbeeld niet deelneemt aan managementbeoordelingen of niet aan de externe auditor kan aantonen dat een vertegenwoordiger van het leiderschap het serieus neemt tijdens een audit, zal de organisatie vrijwel zeker falen. Auditors vertellen dat de geest van ISO 27001 van bovenaf komt en als ze dat niet zien, zullen ze tijdens de audit waarschijnlijk veel dieper en sceptischer kijken.

Zoals al vele malen eerder is gezegd, is informatiebeveiligingsbeheer een bedrijfskritische filosofie en moet het verenigbaar zijn met de bedrijfsdoelstellingen en -processen van een organisatie om in de praktijk te kunnen werken. Zonder ondersteuning van het leiderschap, of de vereiste om 25 dingen te doen voordat iemand daadwerkelijk het werk doet dat hij wil doen, zal het ISO 27001-traject moeilijk van de grond komen.

Het kunnen aantonen van dit leiderschapscommitment is essentieel voor clausule 5.1, en dat is waar een serieuzer managementsysteem voor informatiebeveiliging in het spel komt dat zowel blijk geeft van de commitment van het leiderschap om in een ISMS te investeren als over het bewijs beschikt dat ze betrokken zijn geweest, bijvoorbeeld bij managementbeoordelingen en bredere ISMS-besluitvorming en de vereiste jaarlijkse externe audits voor ISO 27001. Als een wettelijke financiële accountant ziet dat alle financiële boekhouding alleen maar met spreadsheets wordt gedaan in plaats van met een professionele boekhoudapplicatie, zou hij de integriteit ervan in twijfel kunnen trekken en er langer aan kunnen besteden dan wanneer het werk zou worden gedaan met xero, salie of een andere erkende oplossing. Hetzelfde geldt voor het beheer van informatiebeveiliging. Het gebruik van de juiste tools en het betrekken van de juiste mensen schept vertrouwen.

Het hebben van deze fundamenten maakt het eenvoudig om deze clausule aan te tonen en naleving vereist eenvoudigweg gedocumenteerd bewijs in de vorm van aantekeningen om te versterken dat leiderschap en toewijding aanwezig zijn en om clausule 5.1 punten ah in de ISO 27001-norm aan te pakken. Alle onderdelen van het samengevoegde ISMS zullen dat dan in de praktijk laten zien.

Maak het eenvoudiger met ISMS.online

We hebben een sjabloonbeleid opgenomen met een voorgestelde verklaring die organisaties kunnen aannemen of aanpassen over wat het senior management rond en binnen het ISMS doet. Het heeft betrekking op de gebieden waar het senior management doorgaans bij betrokken is, waardoor het voor auditors heel eenvoudig wordt om het bewijsmateriaal te zien dat ze nodig hebben.

Dat omvat onder meer het gebruik van de ISMS.online-softwareservice om aan te tonen dat er managementbeoordelingsvergaderingen hebben plaatsgevonden, waaronder de evaluatie van hoe het ISMS presteert ten opzichte van de gestelde doelstellingen, die allemaal gemakkelijk kunnen worden gedemonstreerd in de ISMS.software en laten zien dat het senior management betrokken is geweest. Of ze zich diep verdiepen in de werking van het ISMS, bijvoorbeeld door risico's te nemen op het gebied van informatiebeveiliging, deel te nemen aan beveiligingsaudits, te kijken naar de beste praktijken op het gebied van informatieborging en de lopende privacykwesties in de organisatie te beoordelen en beveiligingsincidenten te beheren, zal waarschijnlijk gebaseerd zijn op de organisatie omvang en geïnvesteerde middelen.